DSBextern.de

Unser DSMS
Über uns
Allgemeines

  • Datenschutz und Informationssicherheit.

    untrennnbar verknüpft

  • BDSG und DSGVO - Bundesdatenschutzgesetz - Datenschutzgrundverordnung

    Neue Gesetze und Richtlinien seit Mai 2018

  • Wir bieten Ihnen das passende Framework für diese Unternehmensaufgabe

    DSMS.EU

  • DSMS

    ... steht für DatenSchutzManagementSystem
Impressionen
Weitere Informationen DSBextern.de DSBextern.de
Kontakt
Mitarbeiterlogin
Dashboard
Tools
Ticketsystem
Archiv

© 2021 DSBextern.de

Alle Rechte liegen bei DSBextern.de

Unser DSMS

Datenschutz neu gedacht

Welche Funktionen bietet unser DSMS?

 

Geschützter Bereich

Durch sichere Authentifizierungsmaßnahmen haben Sie für Ihr Unternehmen einen eigenen geschützten Bereich.

 

Dashboard

Über das Datenschutzdashboard erhalten Sie jederzeit einen Überblick über Ihren aktuellen Datenschutzstand.

 

Archiv

Ein integriertes Archiv gewährleistet jederzeit Zugriff auf Ihre wichtigen datenschutzrelevanten Dokumente.

 

 

Ticketsystem

Über unser Ticketsystem können Sie bei datenschutzrechtlichen Fragen direkt Kontakt zu unseren Experten aufnehmen.

 

Tools

Mit unseren verschiedenen Datenschutztools können Sie ganz leicht Mustervorlagen und Datenschutzdokumente erstellen.

 

Wissensdatenbank

Möchten Sie mehr über die Grundlagen des Datenschutzes erfahren, steht Ihnen hierzu eine umfangreiche Wissensdatenbank zur Verfügung.

Über uns

Datenschutz neu gedacht. Als Experten in Bereich Datenschutz und Informationssicherheit stehen wir mit unserer umfassenden Erfahrung für Sie bereit.

Das Unternehmen ist seit 2004 für Unternehmen (kleine und mittelständische, wie auch Industrieunternehmen sowie Kanzleien, Behörden, Handel, Apotheken und Praxen) in den Bereichen Datenschutz und Informationssicherheit tätig. In den letzten Jahren und Monaten haben wir Unternehmen und Behörden verstärkt auf die Herausforderungen der DSGVO vorbereitet, die ab dem 25. Mai 2018 EU-weit gültig ist. Auch Unternehmen, die Dienstleistungen oder Waren in die EU exportieren, sind der DSGVO vollumfänglich unterworfen.

Als Wirtschaftsinformatiker, Betriebswirt und Jurist, u.a. mit Abschlüssen in den Bereichen Risk und Compliance, bringt unser Datenschutzbeauftragter Stefan Spörrer technisches, kaufmännisches und rechtliches Verständnis mit. Er unterstützt Unternehmen nicht nur beratend im technischen und betriebswirtschaftlichen Bereich, sondern ganzheitlich in allen Datenschutz-Themen und damit verbundenen compliancerechtlichen Prozessen.

  • Recht

    Recht

    Juristische Schwerpunkte

    • Risiko- & Compliancemanagement
    • Informationssicherheit und Datenschutz
    • Datenschutz in Matrixorganisationen
    • Mitarbeiterdatenschutz unter BDSG (neu) und EU-DSGVO
    • Korruptionsprävention<
    • Arbeitsrecht
    • Tax Compliance
  • Informationstechnologie

    Informationstechnologie

    Technische Schwerpunkte

    • IT-Sicherheit
    • IT-Compliance
    • Digitalisierte Geschäftsprozesse
    • Systemarchitekturen
    • Content-Management-Systeme
  • Wirtschaft

    Wirtschaft

    Kaufmännische Schwerpunkte

    • Geschäftsprozessanalyse und -design
    • Rechenzentrumsbetrieb, Leistungs- und Kostenrechnung
    • Six Sigma

Übersicht

Datenschutzberatung

Wir beraten Sie über die Umsetzung des Datenschutzes in Ihrem Unternehmen.

Ansprechpartner

Wir übernehmen bei datenschutzrechtlichen Anfragen für Sie den Kontakt zu Kunden und Aufsichtsbehörden.

Schulungen

Wir übernehmen für Sie die Datenschutzschulungen Ihrer Mitarbeiter.

  • Datenschutzberatung

    Datenschutzberatung

  • Ansprechpartner

    Ansprechpartner

  • Schulungen

    Schulungen

Kontakt

Bei allgemeinen Anfragen zu unseren Dienstleistungen oder sonstigen Fragen können Sie sich gerne über nachfolgendes Kontaktformular an uns wenden.

Ihr Name*

Ihre E-Mail-Adresse*

Ihre Anfrage*

Ihre Nachricht*

Spamschutz

Bitte diese Checkbox aktivieren
Bitte diese Checkbox nicht aktivieren

Besuchen Sie uns

Hofbauerstraße 3a, 94209 Regen
info@DSBextern.de
09921 807780
Standort

Größere Karte anzeigen

Tools

AVV-Generator
Cookie Consent Manager
Datenschutzerklärung
Datenschutzverstoß
DSFA
Homeoffice
Impressum
TOM
Verarbeitungsverzeichnis
Widerruf
Website-Check
Zertifikatsantrag

Cookie Consent Manager

Dieses Tool ist noch nicht verfügbar!

Datenschutzerklärung

Dieses Tool ist noch nicht verfügbar!

Datenschutzverstoß

Dieses Tool ist noch nicht verfügbar!

Datenschutz-Folgenabschätzung

Dieses Tool ist noch nicht verfügbar!

Vereinbarung zum Homeoffice

Dieses Tool ist noch nicht verfügbar!

Impressum

Dieses Tool ist noch nicht verfügbar!

Verarbeitungsverzeichnis

Dieses Tool ist noch nicht verfügbar!

Widerrufs-Tool

Dieses Tool ist noch nicht verfügbar!

Zertifikatsantrag

Dieses Tool ist noch nicht verfügbar!

TOM

Technische und organisatorische Maßnahmen (TOM)

oder

„Sicherheit der Verarbeitung“ nach Art. 32 DSGVO bzw.

„Verfahrensspezifisches IT-Sicherheitskonzept“ gemäß Art. 32 Abs. 1 DSGVO

Hinweis: Bitte beachten Sie dazu auch folgende Dokumente im DSMS:

  • Dokument 3210 – letzte Version vom November 2018: Technische und organisatorische Maßnahmen in der DSGVO
  • Dokument 2444 – letzte Version aus 2018: Technische und organisatorische Maßnahmen

TOM bzw. „Sicherheit der Verarbeitung“ nach Art. 32 DSGVO bzw. „Verfahrens- spezifisches IT-Sicherheitskonzept“ gemäß Art. 32 Abs. 1 DSGVO, ggf. ein- schließlich der Maßnahmen nach Art. 8 Abs. 2 Satz 2 BayDSG-E 2018 (Bayeri- sches Landesdatenschutzgesetz bzw. etwaiges zuständiges Landesdatenschutz- gesetz des jeweiligen Bundeslandes).

Satz (1) des Art. 32 DSGVO „Sicherheit der Verarbeitung“ lautet: Unter Berück- sichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der un- terschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnah- men, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Organisationen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maß- nahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften der Datenschutzgesetze zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Zur einfacheren Unterscheidung hier noch Hinweise für die Bearbeitung:

Technische und organisatorische Maßnahmen werden meist in einem Atemzug genannt – zum Beispiel als TOM Datenschutz oder Verfahrensspezifisches IT-Sicherheitskonzept.

Dabei unterscheiden sich die beiden folgenden Maßnahmen:

  • Technische Maßnahmen beziehen sich auf den Datenverarbeitungsvorgang als solches. Sie bezeichnen alle Maßnahmen, die sich physisch umsetzen las- sen, zum Beispiel durch das Installieren einer Alarmanlage oder Benutzer- konten, die passwortgeschützt sind.
  • Organisatorische Maßnahmen beziehen sich auf die Rahmenbedingungen des Datenverarbeitungsvorgangs. Sie umfassen Regeln, Vorgaben und Handlungsanweisungen, die dazu dienen, dass Mitarbeiter den Datenschutz gesetzestreu einhalten.

Dieses Dokument ist in folgende Maßnahmengruppen unterteilt:

1.Vertraulichkeit gem. Art. 32 Abs. 1 lit. DSGVO
2.Integrität (Art. 32 Abs. 1 lit. b DSGVO)
3.Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
4.Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

Die jeweils in der Organisation verwendeten Maßnahmen sind durch ein gekennzeichnet.

Bitte kreuzen Sie an:

Erstprüfung

Wiederholungsprüfung

Die Prüfung Ihrer Angaben wird im Rahmen des internen oder externen Audits von uns geprüft, bei Unklarheiten werden wir Rückfragen stellen, und das Ergebnis im Nachgang zu Dokumentationszwe- cken ins DSMS hochladen.

Name des Unternehmens / Organisation:

Kundennummer (falls bekannt):

Datum der Momentaufnahme:

Bearbeiter:

Funktion / intern / extern:

1. Vertraulichkeit gem. Art. 32 Abs. 1 lit. DSGVO

1.1. Zutrittskontrolle

Kurz: Zutritt zu den Server- und Speichersystemen

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbe- zogene Daten verarbeitet oder genutzt werden, zu verwehren. Als Maßnahmen zur Zutrittskontrolle können zur Gebäude- und Raumsicherung unter anderem automatische Zutrittskontrollsysteme, Einsatz von Chipkarten und Transponder, Kontrolle des Zutritts durch Pförtnerdienste aber auch Alarmanlagen eingesetzt werden. Server, Telekommunikationsanlagen, Netzwerktechnik und ähnliche Anlagen sind zu schützen. Darüber hinaus ist es sinnvoll, die Zutrittskontrolle auch durch organisatorische Maßnahmen (z.B. Dienstanweisungen, Richtlinien oder Betriebsvereinbarungen, die das Verschließen der Diensträume bei Abwesenheit vorsieht) zu stützen. Auch die Aufgaben eines Putzdienstes können so ausgestaltet sein, dass dieser seine Reinigungsarbeiten nur zu be- stimmten Zeiten oder unter Aufsicht durchführen darf.

Technische Maßnahmen Organisatorische Maßnahmen
Absicherung der Fenster Besucher in Begleitung durch Mitarbeiter
Absicherung der Feuerleiter Besucherliste zur Protokollierung
Absicherung der Feuertreppe Betriebsvereinbarung vorhanden
Absicherung der Lichtschächte Empfang / Rezeption / Pförtner
Absicherung der Lüftungsöffnungen Generalschlüsselanlage
Alarmanlage Keine Telefonlisten in Besprechungsräumen
Anwesenheitskontrolle (z.B. über Zeiterfas-sungssystem, Stechuhren, Schichtbuch, etc.) Mitarbeiter- / Besucherausweise
Automatisches Zugangskontrollsystem Netzverteiler abgegrenzt (Sperrbereich)
Chipkarten- / Transpondersysteme PC-Arbeitsplätze abgegrenzt
Klingelanlage mit Kamera Quittierung der Schlüsselausgabe
Lichtschranken / Bewegungsmelder Regelung zur Aufbewahrung des General-schlüssels
Manuelles Schließsystem Regelungen zur Tele-/Heimarbeit
Rollos gegen Hochschieben gesichert Schlüsselregelung / Liste
Schließsystem mit Codesperre Serverräume abgegrenzt (Sperrbereich)
Sicherheitsschlösser Sorgfalt bei Auswahl des Wachpersonals
Türen mit sog. Kopfdr��ckern auf Außenseite Sorgfalt bei Auswahl Reinigungsdienste
Wachpersonal TK-Anlage abgegrenzt (Sperrbereich)
  Videoüberwachung der Eingänge

Weitere Maßnahmen bitte hier beschreiben:

1.2. Zugangskontrolle

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können.

Mit Zugangskontrolle ist die unbefugte Verhinderung der Nutzung von Anlagen gemeint. Möglichkeiten sind beispielsweise Bootpasswort, Benutzerkennung mit Passwort für Betriebssysteme und eingesetzte Softwarepro- dukte, Bildschirmschoner mit Passwort, der Einsatz von Chipkarten zur Anmeldung wie auch der Einsatz von CallBack-Verfahren. Darüber hinaus können auch organisatorische Maßnahmen notwendig sein, um beispiels- weise eine unbefugte Einsichtnahme zu verhindern (z.B. Vorgaben zur Aufstellung von Bildschirmen, Herausga- be von Orientierungshilfen für die Anwender zur Wahl eines „guten“ Passworts).

Technische Maßnahmen Organisatorische Maßnahmen
Anti-Virus-Software Clients Allg. Richtlinie Datenschutz
Anti-Virus-Software mobile Geräte Allg. Richtlinie Sicherheit
Anti-Viren-Software Server Anleitung „Manuelle Desktopsperre“
Authentifikation mit Benutzer und Passwort Erstellen von Benutzerprofilen
Authentifikation mit biometrischen Daten Mobile Device Policy
Automatische Desktopsperre Personenkontrolle beim Pförtner / Empfang
BIOS Schutz (separates Passwort) Protokollierung der Besucher/ Besucherbuch
Einsatz VPN bei Remote-Zugriffen Richtlinie „Clean desk“
Firewall Richtlinie „L��schen / Vernichten“
Gehäuseverriegelung Richtlinie „Sicheres Passwort“
Intrusion Detection Systeme Verwalten von Benutzerberechtigungen
Login mit Benutzername + Passwort Zentrale Passwortvergabe
Login mit biometrischen Daten  
MDM - Mobile Device Management  
Sperren externer Schnittstellen (z.B. USB)  
Verschlüsselung mobiler Geräte  
Verschlüsselung von Datenträgern  
Verschlüsselung von Notebooks / Tablet  
Verschlüsselung von Smartphones  

Weitere Maßnahmen:

1.3. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten aus- schließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezo- gene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Die Zugriffskontrolle kann unter anderem gewährleistet werden durch geeignete Berechtigungskonzepte, die eine differenzierte Steuerung des Zugriffs auf Daten ermöglichen. Dabei gilt, sowohl eine Differenzierung auf den Inhalt der Daten vorzunehmen als auch auf die möglichen Zugriffsfunktionen auf die Daten. Weiterhin sind geeignete Kontrollmechanismen und Verantwortlichkeiten zu definieren, um die Vergabe und den Entzug der Berechtigungen zu dokumentieren und auf einem aktuellen Stand zu halten (z.B. bei Einstellung, Wechsel des Arbeitsplatzes, Beendigung des Arbeitsverhältnisses). Besondere Aufmerksamkeit ist immer auch auf die Rolle und Möglichkeiten der Administratoren zu richten.

Technische Maßnahmen Organisatorische Maßnahmen
Aktenschredder (mind. Stufe 3, cross cut) Datenschutztresor
Alle Unterlagen landen im Papierkorb Einsatz Berechtigungskonzepte
Die Einstufung der Aktenvernichter ist mir unbekannt Einsatz von Dienstleistern zur Akten- und Datenvernichtung(nach Möglichkeit mit Zerti-fikat)
Drucker an Druckerinseln können erst nach PIN-Eingabe drucken Minimale Anzahl an Administratoren
Physische Löschung von Datenträgern Verwaltung Benutzerrechte durch Adminis-tratoren
Protokollierung von Zugriffen auf Anwen-dungen, konkret bei der Eingabe, Änderungund Löschung von Daten  
Ordnungsgemäße Vernichtung von Daten-trägern (DIN 32757)  
Wir nutzen Druckerinseln (Drucker für mehrere Personen)  

Weitere Maßnahmen:

1.4. Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet wer- den können. Dieses kann beispielsweise durch logische und physikalische Trennung der Daten gewährleistet werden.

Technische Maßnahmen Organisatorische Maßnahmen
Mandantenfähigkeit relevanter Anwendun-gen Datensätze sind mit Zweckattributen verse-hen
Physikalische Trennung (Systeme / Daten-banken / Datentr��ger) Festlegung von Datenbankrechten
Trennung von Produktiv- und Testumgebung Steuerung über Berechtigungskonzept
Verschlüsselung von Datensätzen, die zudemselben Zweck verarbeitet werden Logische Mandantentrennung (softwaresei-tig)

Weitere Maßnahmen:

1.5. Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)

Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher In- formationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzli- chen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.

Technische Maßnahmen Organisatorische Maßnahmen
Im Falle der Pseudonymisierung:Trennung der Zuordnungsdaten und Auf- bewahrung in getrenntem und abge-sicherten System (mögl. verschlüsselt) Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren / pseudonymi-sieren

Weitere Maßnahmen:

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1. Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder wäh- rend ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Zur Gewährleistung der Vertraulichkeit bei der elektronischen Datenübertragung können z.B. Verschlüsselungstechniken und Virtual Private Network eingesetzt werden. Maßnahmen beim Datenträgertransport bzw. Datenweitergabe sind Transportbehälter mit Schließvorrichtung und Regelungen für eine datenschutzgerechte Vernichtung von Daten- trägern.

Technische Maßnahmen Organisatorische Maßnahmen
Bereitstellung über verschlüsselte Verbin-dungen wie sftp, https Dokumentation der Datenempfänger sowieder Dauer der geplanten Überlassung bzw.der Löschfristen
E-Mail-Verschlüsselung Persönliche ��bergabe mit Protokoll
Einsatz von VPN Sorgfalt bei Auswahl von Transport-Personalund Fahrzeugen
Nutzung von Signaturverfahren Übersicht regelmäßiger Abruf- und Übermitt-lungsvorgängen
Protokollierung der Zugriffe und Abrufe Weitergabe in anonymisierter oder pseudonymisierter Form
Sichere Transportbehälter  

Weitere Maßnahmen:

2.2. Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Eingabekontrolle wird durch Protokollierungen erreicht, die auf verschiedenen Ebenen (z.B. Betriebssystem, Netzwerk, Firewall, Datenbank, Anwendung) stattfinden können. Dabei ist weiterhin zu klären, welche Daten protokolliert werden, wer Zugriff auf Protokolle hat, durch wen und bei welchem Anlass/Zeitpunkt diese kontrol- liert werden, wie lange eine Aufbewahrung erforderlich ist und wann eine Löschung der Protokolle stattfindet.

Technische Maßnahmen Organisatorische Maßnahmen
Manuelle oder automatisierte Kontrolle derProtokolle Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurden
Technische Protokollierung der Eingabe,Änderung und Löschung von Daten Klare Zuständigkeiten für Löschungen
  Nachvollziehbarkeit von Eingabe,Änderung und Löschung von Daten durch Individuelle Benutzernamen (nichtBenutzergruppen)
  Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können
  Vergabe von Rechten zur Eingabe,Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts

Weitere Maßnahmen:

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

3.1. Verfügbarkeitskontrolle

Ma��nahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust ge-schützt sind. Hier geht es um Themen wie eine unterbrechungsfreie Stromversorgung, Klimaanlagen, Brand- schutz, Datensicherungen, sichere Aufbewahrung von Datenträgern, Virenschutz, Raidsysteme, Plattenspiege-lungen etc.

Technische Maßnahmen Organisatorische Maßnahmen
Alarmmeldung bei unberechtigtem Zutritt zu Serverraum Alarmmeldung bei unberechtigten Zutrittenzu Serverräumen
Datenschutztresor (S60DIS, S120DIS, anderegeeignete Normen mit Quelldichtung etc.) Aufbewahrung der Sicherungsmedien aneinem sicheren Ort außerhalb des Server-raums
Feuerlöscher Serverraum Backup & Recovery-Konzept (ausformuliert)
Feuer- und Rauchmeldeanlagen Existenz eines Notfallplans (z.B. BSI IT-Grund-schutz 100-4)
RAID System / Festplattenspiegelung Getrennte Partitionen für Betriebssystemeund Daten
Schutzsteckdosenleisten Serverraum In Hochwassergebieten: Serverräume überder Wassergrenze
Serverraumüberwachung Temperatur und Feuchtigkeit Keine sanitären Anschlüsse im oder oberhalbdes Serverraums
Serverraum klimatisiert Kontrolle des Sicherungsvorgangs
USV Regelmäßige Tests zur Datenwiederher-stellung und Protokollierung der Ergebnisse
Videoüberwachung Serverraum Testen von Datenwiederherstellung

Weitere Maßnahmen:

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

4.1. Datenschutz-Management

Technische Maßnahmen Organisatorische Maßnahmen
Anderweitiges dokumentiertes Sicherheits-Konzept Die Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf durchgeführt
Eine Überprüfung der Wirksamkeit derTechnischen Schutzmaßnahmen wird mind. jährlich durchgeführt Die Organisation kommt den Informations-pflichten nach Art. 13 und 14 DSGVO nach
Sicherheitszertifizierung nach ISO 27001,BSI IT-Grundschutz oder ISIS12 Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener ist vorhanden
Software-Lösungen für Datenschutz-Management im Einsatz Interner / externer Datenschutzbeauftragter Name / Firma / Kontaktdaten
Zentrale Dokumentation aller Verfahrens-weisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf / Berechtigung (z.B. Wiki, Intranet ...) Interner / externer Informationssicherheits-Beauftragter Name / Firma Kontakt
  Mitarbeiter geschult und auf Vertraulichkeit/Datengeheimnis verpflichtet
  Regelmäßige Sensibilisierung der Mitarbeiter Mindestens jährlich

Weitere Maßnahmen:

4.2. Incident-Response-Management

Unterstützung bei der Reaktion auf Sicherheitsverletzungen

Technische Maßnahmen Organisatorische Maßnahmen
Einsatz von Firewall und regelmäßige Aktualisierung Dokumentation von Sicherheitsvorfällenund Datenpannen z.B. via Ticketsystem
Einsatz von Spamfilter und regelmäßige Aktualisierung Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Daten-Pannen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde)
Einsatz von Virenscanner und regelmäßige Aktualisierung Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen
Intrusion Detection System (IDS) Einbindung von DSB und ISB in Sicher-heitsvorfälle und Datenpannen
Intrusion Prevention System (IPS) Formaler Prozess und Verantwortlichkeitenzur Nachbearbeitung von Sicherheitsvor-fällen und Datenpannen

Weitere Maßnahmen:

4.3. Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

Privacy by design / Privacy by default

Technische Maßnahmen Organisatorische Maßnahmen
Einfache Ausübung des Widerrufrechtsdes Betroffenen durch technische Maß-nahmen Dokumentation der Bewertung der Risikenf��r die Betroffenen
Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind Dokumentation der gesetzten TOMs

Weitere Maßnahmen:

4.4. Auftragskontrolle (Outsourcing an Dritte)

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur ent- sprechend den Weisungen des Auftraggebers verarbeitet werden können. Unter diesen Punkt fällt neben der Datenverarbeitung im Auftrag auch die Durchführung von Wartung und Systembetreuungsarbeiten sowohl vor Ort als auch per Fernwartung. Sofern der Auftragnehmer Dienstleister im Sinne einer Auftragsverarbeitung einsetzt, sind die folgenden Punkte stets mit diesen zu regeln.

Technische Maßnahmen Organisatorische Ma��nahmen
  Abschluss der notwendigen Vereinbarungzur Auftragsverarbeitung bzw. EU Standard-Vertragsklauseln
  Auswahl des Auftragnehmers unter Sorg-faltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit
  Bei längerer Zusammenarbeit: Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus
  Regelung zum Einsatz weiterer Subunter-nehmer
  Schriftliche Weisungen an den Auftragneh-mer (z.B. durch Auftragsdatenverarbeitungs-vertrag) i. S. d. § 11 Abs. 2 BDSG
  Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
  Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer
  Verpflichtung der Mitarbeiter des Auftrag-nehmers auf Datengeheimnis
  Verpflichtung zur Bestellung eines Daten-schutzbeauftragten durch den Auftragneh-mer bei Vorliegen Bestellpflicht
  Vertragsstrafen bei Verstößen
  Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation

Weitere Maßnahmen:

 

alternativ:

Hiermit versichern wir, keine Subunternehmer im Sinne einer Auftragsverarbeitung einzusetzen.

 

Ausgefüllt für die Organisation durch

Name:

Funktion:

Rufnummer:

Email:

 

Ort, 2025-01-22

 

Vom Auftraggeber auszufüllen:

Geprüft am    durch    .Ergebnis(se):

Es besteht noch Klärungsbedarf zu.

TOM sind für den angestrebten Schutzzweck ausreichend.

Vereinbarung Auftragsverarbeitung kann geschlossen werden.

Hinweis: Diese Vorlage verwendet durchaus noch Begrifflichkeiten des BDSG a.F. Inhaltlich unter- scheiden sich die technischen und organisatorischen Maßnahmen nicht von denen, die in der DSGVO gefordert werden!

Datenschutzpanne

Reports